OpenAM Policy Agent の脆弱性について
OpenAM Policy Agent4 にクロスサイトスクリプティングの脆弱性が発見されました。
osstech-openam-agent4 の POST データ保持機能にクロスサイトスクリプティングの脆弱性が存在し、 悪意 のある攻撃者が閲覧者のWebブラウザ上でスクリプトを実行できる可能性があります。
対象
- OpenAM Policy Agent 4
- osstech-openam-agent4-apache24-4.0.0-35 以前のバージョン
※ OpenAM Policy Agent 3(osstech-openam-agent-apache22およびosstech-openam-agent-apache24)は対象外です。
恒久対策
アップデート版の適用をお願いします。
暫定回避策
POST データ保持機能 を無効にします。
- 設定箇所(OpenAM管理コンソールにて設定)
[レルム] - [エージェント] - [Web] - [エージェント]のAgent名 - [高度] - [POST データ保持]の有効のチェックを外す
(設定の反映にPolicy Agentが動作するApacheの再起動が必要です。)
アップデートパッケージの入手方法
お客様がご利用中の OpenAM Policy Agent4 の環境について、下記の動作 OSと ご利用中の弊社製品のバージョンの情報をご確認の上、 弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。
※下記に記されていない環境については、サポート窓口までお問い合わせください。
OS について
- Red Hat Enterprise Linux 8 (x86-64)
- Red Hat Enterprise Linux 7 (x86-64)
- Red Hat Enterprise Linux 6 (x86-64)
OpenAM Policy Agent のバージョンについて
rpm パッケージを導入されている場合は下記のコマンドでご確認ください。
# rpm -qa | grep osstech
アップデート版の修正内容をリリースノートに記載しております。